网站防止攻击

网站防止攻击1、什么是XSSXSS又叫CSS(CrossSiteScript),跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性。跨站脚本攻击最大的魅力是通过HTML注入劫持用户的浏览器,任意构造用户当前浏览的HTM

大家好,又见面了,我是你们的朋友全栈君。

1、什么是XSS

XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性。

跨站脚本攻击最大的魅力是通过HTML注入劫持用户的浏览器,任意构造用户当前浏览的HTML内容,甚至可以模拟用户当前的操作。

XSS 是如何发生的呢?

假如有下面一个textbox

<input type="text" name="address1" value="value1from">

value1from是来自用户的输入,如果用户不是输入value1from,而是输入“/><script>alert(document.cookie)</script><!- 那么就会变成

<input type="text" name="address1" value=""/><script>alert(document.cookie)</script><!- ">

嵌入的JavaScript代码将会被执行。

或者用户输入的是  “οnfοcus=”alert(document.cookie)      那么就会变成

<input type="text" name="address1" value="" onfocus="alert(document.cookie)">

事件被触发的时候嵌入的JavaScript代码将会被执行。

攻击的威力,取决于用户输入了什么样的脚本。

XSS之所以会发生, 是因为用户输入的数据变成了代码。 所以我们需要对用户输入的数据进行HTML Encode处理。 将其中的”中括号”, “单引号”,“引号” 之类的特殊字符进行编码。

网站防止攻击

XSS 漏洞修复

原则: 不相信客户输入的数据
注意:  攻击代码不一定在<script></script>中

  1. 将重要的cookie标记为http only,   这样的话Javascript 中的document.cookie语句就不能获取到cookie了.
  2. 只允许用户输入我们期望的数据。 例如: 年龄的textbox中,只允许用户输入数字。 而数字之外的字符都过滤掉
  3. 对数据进行Html Encode 处理
  4. 过滤或移除特殊的Html标签, 例如: <script>, <iframe> , &lt; for <, &gt; for >, &quot for
  5. 过滤JavaScript 事件的标签。例如 “οnclick=”, “onfocus” 等等。

 

防止XSS,主要是:

一、用户自己

用户可以忽略一个网站到另一个网站的链接:比如说,如果A网站链接到somerandomsite.com/page,那么你如果先要上这个网站,最好不要去直接点击该链接,而是通过搜索功能去查找该网站。这种方法可有效防止嵌入在链接网址中的XSS攻击,但是这种方法用起来不太方便,而且当两个网站共享内容时就没办法用了。另外一种方法是在你的浏览器中禁用像JavaScript脚本语言。即便因此可能会让一些网站上的一些很不错的功能没法使用,只要你还能够容忍就行。

二、上面列出的五点。

2、sql注入攻击

防止sql注入方法:

一、用户注册和登陆的时候输入的用户名和密码的时候禁止有特殊字符。

二、最小权限原则。

三、如果使用的是java,则尽量使用PreparedStatement

3、…

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/162081.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • sqlmap安装教程用w+r打开(sqlyog安装步骤)

    sqlmap安装教程需要工具:sqlmap、python2或3、计算机自带的CMD一、工具安装1、自行上官网安装sqlmap、python2或32、首先安装python可以无脑点继续,但是在下图的安装选项中,最后一个选项涉及后期环境搭建,可以选择安装,也可以不安,后期手动添加3、将安装的sqlmap文件夹打开并固定一个名字(SQLMap)4、将SQLMap打开会发现有一个很长串的文件夹,点开并将里面的文件全部剪切到SQLMap这个文件的目录下5、将SQLMap文件夹放入已安装好的pytho

  • graphpad两组t检验_GraphPad中国官网 – Prism 8 统计指南 – 多重t检验的选项[通俗易懂]

    graphpad两组t检验_GraphPad中国官网 – Prism 8 统计指南 – 多重t检验的选项[通俗易懂]如何计算单个P值Prism计算每行的非配对t检验,并报告相应双尾P值。有两种方法可进行计算。•更少假设。在作出这种选择后,单独分析每行。其他行中的数值与如何分析特定行中的数值毫无关系。df越来越少,检验力也越来越小,但您做的假设越来越少。请注意,尽管您未假设不同行上的数据从具有相同标准偏差的总体中抽样得到,但您假设每行上的两列中的数据是从具有相同标准偏差的总体中抽样的。这是非配对检验的标准假设,即…

  • 补码加法运算溢出判断例题_补码加法溢出

    补码加法运算溢出判断例题_补码加法溢出补码加法运算溢出判断三种方法:[方法一]Xf、Yf分别两个数符号位,Zf为运算结果符号位。当Xf=Yf=0(两数同为正),而Zf=1(结果为负)时,负溢出;当出现Xf=Yf=1(两数同为负),而Zf=0(结果为正),正溢出.[方法二]Cs表示符号位的进位,Cp表示最高数值位进位,⊕表示异或。若Cs⊕Cp=0,无溢出;若Cs⊕Cp=1,有溢出。[方法三]用变形

  • 计算机网络技术现代安防是啥意思,现代化校园视频安防监控系统 具有哪些特点呢…

    计算机网络技术现代安防是啥意思,现代化校园视频安防监控系统 具有哪些特点呢…原标题:现代化校园视频安防监控系统具有哪些特点呢校园视频安防监控系统主要是利用监控设备对学校场所进行全方位、全高清视频立体化管理和监控,从而维护校园秩序和安全,同时能为同学们的生活和学习营造更好的安全环境。那么现代化校园视频安防监控系统具有哪些特点呢?今天就和小编一起来学习了解下吧。1、可靠性与安全性校园视频安防监控系统的设计应具有较高的可靠性,在校园视频安防监控系统故障或事故造成中断后,能确…

  • PCL 平面点云B样条曲线拟合

    PCL 平面点云B样条曲线拟合平面点云B样条曲线拟合

  • docker离线安装部署_安装rabbitmq

    docker离线安装部署_安装rabbitmq一、首先确保系统环境有dockerdocker-version查看如果没有可以看我的另一篇离线安装docker的文章离线安装docker二、在有外网的地方下载好docker镜像1、拉取docker镜像dockerpullrabbitmq:management2、查看下载好的镜像dockerimages3、开始创建rabbitmq容器dockerrun-d-p5672:5672-p15672:15672–namerabbitmqrabbitmq:manage

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号